Estoy codificando un ancho de editor WYSIWYG designMode = "on" en un iframe. El editor funciona bien y almaceno el código como está en la base de datos.Mejor práctica: limpieza HTML generado por el usuario
Antes de enviar el html, tengo que "limpiarlo" con php en el servidor para evitar secuencias de comandos entre sitios y otras cosas aterradoras. ¿Hay algún tipo de práctica recomendada sobre cómo hacer esto? ¿Qué etiquetas pueden ser peligrosas?
ACTUALIZACIÓN: Typo arreglado, es lo que ves es lo que obtienes. Nada nuevo :)
Si está decidido a implementarlo usted mismo, será mejor que eche un vistazo a http://ha.ckers.org/xss.html, una lista de ataques conocidos en varios navegadores. – FalseVinylShrub
Una gran pregunta - Me he preguntado cómo se protege stackoverflow ... – JDelage